In Deutschland wird die NIS-2-Richtlinie durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG) umgesetzt. Dabei werden diverse Gesetze, wie etwa das Telekommunikationsgesetz (TKG), das Energiewirtschaftsgesetz (EnWG) und viele weitere angepasst. Die EU-Richtlinie sieht vor, dass die Mitgliedsstaaten die neuen Regelungen bis zum 17. Oktober 2024 in nationales Recht umsetzen. Unsere Expertinnen und Experten gehen jedoch davon aus, dass dieser Zeitplan wohl nicht eingehalten wird.
Die NIS-2-Richtlinie gilt grundsätzlich für Unternehmen oder Institutionen mit mehr als 49 Beschäftigten oder mindestens 10 Millionen Euro Jahresumsatz, wenn sie in einem der folgenden Sektoren tätig sind:
Besonders wichtige Sektoren (mit hoher Kritikalität)
- Abwasser
- Bankwesen
- Digitale Infrastruktur
- Energie
- Finanzmärkte
- Gesundheit
- ICT Service Management im B2B
- Öffentliche Verwaltung
- Transport
- Trinkwasser
- Weltraum
Wichtige Sektoren
- Abfall
- Chemikalien
- Digitale Dienste
- Forschung
- Industrie (herstellendes Gewerbe)
- Lebensmittel
- Post- und Kurierdienste
Außerdem können Organisationen auch unabhängig von ihrer Größe unter die Richtlinie fallen, u.a. wenn sie eine wesentliche Bedeutung in der Lieferkette der kritischen Infrastrukturen einnehmen.
Das NIS2UmsuCG schreibt verschiedene Pflichten vor. Dazu gehören Risikomanagementmaßnahmen im Bereich der Cybersicherheit, die durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachgewiesen werden müssen. Außerdem müssen diverse Registrierungs-, Melde- und Unterrichtungspflichten erfüllt werden. Geschäftsführende Personen müssen Genehmigungs-, Aufsichts- und Schulungspflichten erfüllen. Darüber hinaus gibt es Registrierungspflichten für bestimmte Anbieter und eine separate Datenbank für die Registrierungsdaten von Domänennamen.
Das NIS2UmsuCG gilt grundsätzlich für alle Unternehmen mit mehr als 50 Beschäftigten oder einem Jahresumsatz von über 50 Millionen Euro, die in den von der EU definierten Sektoren tätig sind. Darüber hinaus gibt es spezifische Vorschriften, die unabhängig von der Größe für bestimmte Einrichtungen gelten, wie beispielsweise Anbieter öffentlicher elektronischer Kommunikationsnetze. Es besteht auch eine indirekte Betroffenheit für kleinere Unternehmen, die als Dienstleister oder Lieferanten für direkt betroffene Unternehmen tätig sind.
Bei Nichteinhaltung der NIS2-Anforderungen können Unternehmen und Einrichtungen mit Bußgeldern von bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Gesamtumsatzes des vorherigen Geschäftsjahres belegt werden. Diese Strafen unterstreichen die Wichtigkeit der Einhaltung der Richtlinie.
Die NIS2-Richtlinie trat am 16. Januar 2023 in Kraft. Die Mitgliedstaaten müssen die Richtlinie bis zum 17. Oktober 2024 umsetzen, in Deutschland geschieht dies voraussichtlich durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG). Aktuell liegt ein Diskussionspapier des Bundesministeriums des Innern und für Heimat zu „Wirtschaftsbezogenen Regelungen zur Umsetzung der NIS-2-Richtlinie in Deutschland“ vor.
ISiCO bietet umfassende Beratungs-, Schulungs- und Unterstützungsleistungen, um Unternehmen bei der Umsetzung der NIS2-Richtlinie zu unterstützen. Dazu gehören die Analyse der spezifischen Anforderungen, die Entwicklung und Implementierung angepasster Sicherheitsmaßnahmen sowie Schulungen und Bewusstseinsbildung bei Mitarbeitenden.